第一篇：防火墻的數據包攔截方式小結

防火墻的數據包攔截方式小結

網絡防火墻都是基于數據包的攔截技術之上的。在 Windows 下，數據包的攔截方式有很多種，其原理和實現方式也千差萬別?？偟膩碚f，可分為“用戶級”和“內核級”數據包攔截兩大類。

用戶級下的數據包攔截方式有：

* Winsock Layered Service Provider(LSP)。

* Win2K 包過濾接口(Win2K Packet Filtering Interface)。* 替換 Winsock 動態鏈接庫(Winsock Replacement DLL)。

內核級下的數據包攔截方式有：

* TDI過濾驅動程序(TDI-Filter Driver)。

* NDIS中間層驅動程序(NDIS Intermediate Driver)。* Win2K Filter-Hook Driver。* Win2K Firewall-Hook Driver。* NDIS-Hook Driver。

在這么多種方式面前，我們該如何決定采用哪一種作為自己項目的實現技術？這需要對每一種 方式都有一個大致的了解，并清楚它們各自的優缺點。技術方案的盲目選用往往會帶來一些技術 風險。以自己為例，我需要在截包的同時得到當前進程文件名，也就是說，需向用戶報告當前是 哪個應用程序要訪問網絡。在選用 Win2K Filter-Hook Driver 這一方案之后(很多小型開源項

目都采用這一方案)，便開始編碼。但之后發現 Win2K Filter-Hook Driver 的截包上下文處于內

核進程中，即 IRQL >= DISPATCH_LEVEL，根本無法知道當前應用程序的名字。相比之下，TDI-Filter Driver 和 NDIS-Hook Driver 則可以得知這些信息。其中 TDI-Filter Driver 比 NDIS-Hook Driver 更能準確地獲知當前應用程序文件名，后者的接收數據包和少數發送數據

包的場景仍然處于內核進程中。

下面列出了各種截包方式的特點：

* Winsock Layered Service Provider(LSP)該方式也稱為 SPI(Service Provider Interface)截包技術。SPI是由 Winsock2 提供的一個

接口，它需要用戶機上安裝有 Winsock 2.0。Winsock2 SPI 工作在 API 之下的 Driver 之上，可以截獲所有基于 Socket 的網絡數據包。

優點：

* 以DLL形式存在，編程方便，調試簡單。* 數據封包比較完整，未做切片，便于做內容過濾。

缺點： * 攔截不夠嚴密，對于不用 Socket 的網絡通訊則無法攔截(如 ICMP)，木馬病毒很容易繞過。

* Win2K Packet Filtering Interface

這是 Win2K 中一組 API 提供的功能(PfCreateInterface, PfAddFiltersToInterface,...)。

優點：

* 接口簡單，實現起來沒什么難度。

缺點：

* 功能過于簡單，只能提供IP和端口的過濾，可能無法滿足防火墻的復雜需求。* 處于 API 層，木馬病毒容易繞過。* 只能在 Win2K 以上(含)系統中使用。

* Winsock Replacement DLL 這種方法通過替換系統 Winsock 庫的部分導出函數，實現數據報的監聽和攔截。

缺點：

* 由于工作在 Winsock 層，所以木馬病毒容易繞過。

* TDI-Filter Driver

TDI 的全稱是 Transport Driver Interface。傳輸層過濾驅動程序通過創建一個或多個設備對象

直接掛接到一個現有的驅動程序之上。當有應用程序或其它驅動程序調用這個設備對象時，會首

先映射到過濾驅動程序上，然后由過濾驅動程序再傳遞給原來的設備對象。

優點：

* 能獲取到當前進程的詳細信息，這對開發防火墻尤其有用。

缺點：

* 該驅動位于 tcpip.sys 之上，所以沒有機會得到那些由 tcpip.sys 直接處理的包，比如ICMP。

* TDI驅動需要重啟系統方能生效。

* NDIS Intermediate Driver

也稱之為 IM Driver。它位于協議層驅動和小端口驅動之間，它主要是在網絡層和鏈路層之間對

所有的數據包進行檢查，因而具有強大的過濾功能。它能截獲所有的數據包。

可參考DDK中附帶的例子 Passthru。

優點：

* 功能非常強大，應用面廣泛，不僅僅是防火墻，還可以用來實現VPN，NAT 和 VLan 等。

缺點：

* 編程復雜，難度較大。

* 中間層驅動的概念是在 WinNT SP4 之后才有的，因此 Win9X 無法使用。* 不容易安裝，自動化安裝太困難。

* Win2K Filter-Hook Driver 這是從 Win2K 開始提供的一種機制，該機制主要利用 ipfiltdrv.sys 所提供的功能來攔截網絡

數據包。Filter-Hook Driver 的結構非常簡單，易于實現。但是正因為其結構過于簡單，并且

依賴于 ipfiltdrv.sys，微軟并不推薦使用。

可參考 CodeProject 上的例子：http://www.tmdps.cn/KB/IP/drvfltip.aspx

優點：

* 結構簡單，易于實現。

* 能截獲所有的IP包(包括ICMP包)。

缺點：

* 工作于內核進程中，無法取得當前應用程序進程的信息。

* 雖能截獲所有IP包，但無法取得數據包的以太幀(Ethernet Frame)。* 只能在 Win2K 以上(含)系統中使用。

* Win2K Firewall-Hook Driver 這是一種和 Win2k Filter-Hook Driver 差不多的機制，所不同的是，Firewall-Hook Driver 能在 IP Driver 上掛接多個回調函數，所以和前者相比，它引起沖突的可能性更小一些。

可參考 CodeProject 上的例子：http://www.tmdps.cn/KB/IP/FwHookDrv.aspx

這種方式的優缺點和 Win2K Filter-Hook Driver 基本相同。

* NDIS-Hook Driver

這是一種要重點講述的截包方式。它是目前大多數網絡防火墻所使用的方法。這種方式的做法

是安裝鉤子到 ndis.sys 中，替換其中的某些關鍵函數，從而達到截包的目的。在下一節中我

們將詳細地介紹它的實現方法。

優點：

* 安裝簡單，可即時安裝和卸載驅動，無需重啟系統。

* 能截獲所有的IP包，同時能取得數據包的以太幀(Ethernet Frame)。* 安全性高，木馬病毒不容易穿透。

* 在大多數情況下，能獲取到當前應用程序的進程信息。* 能在 Win98 以上(含)系統中使用。

缺點：

* 接收數據包、或偶爾發送數據包時，驅動工作在內核進程中，無法獲得應用程序進程信息。

◎ NDIS-Hook 技術

微軟和 3COM 公司在1989年制定了一套開發 Windows 下網絡驅動程序的標準，稱為 NDIS。

NDIS 的全稱是 Network Driver Interface Specification。NDIS為網絡驅動的開發提供了一套

標準的接口，使得網絡驅動程序的跨平臺性更好。

NDIS提供以下幾個層次的接口：

1.NDIS 小端口驅動(NDIS Miniport Driver)。這也就是我們常說的網卡驅動。

2.NDIS 協議驅動(NDIS Protocol Driver)。用來實現某個具體的協議棧，如 TCP/IP 協議棧，并向上層導出 TDI 接口。3.NDIS 中間層驅動(NDIS Intermediate Driver)。

這是位于小端口驅動和協議驅動之間的驅動。

NDIS為了給出上述三種接口，提供了一個系統的、完整的 Wrapper。這個 Wrapper 即 ndis.sys。

上面提到的 Miniport Driver、Protocol Driver、Intermediate Driver 均屬于插入到這個 Wrapper 中的“模塊”，它們調用 Wrapper 提供的函數，同時也向 Wrapper 注冊回調函數。

在簡單了解了NDIS的機制之后，不難得知，網絡防火墻只需要將自己的函數掛鉤(Hook)到 ndis.sys

中即可截獲網絡數據包。NDIS-Hook 技術有兩種實現方案：

1.修改 ndis.sys 的 Export Table。

在 Win32 下，可執行文件(EXE/DLL/SYS)都遵從PE格式。所有提供接口的驅動都有 Export Table，因此只要修改 ndis.sys 的 Export Table，就可實現對關鍵函數的掛接。在實現步驟中，首先

需要得到 ndis.sys 的內存基址，再根據PE格式得到DOS頭部結構(IMAGE_DOS_HEADER)，進一步得

到NT頭部結構(IMAGE_NT_HEADER)，最后從頭部結構中查得 Export Table 的地址。

由于協議驅動程序(NDIS Protocol Driver)在系統啟動時會調用 NdisRegisterProtocol()來向

系統注冊協議，因此這種方法關鍵在于修改 ndis.sys 所提供的 NdisRegisterProtocol、NdisDeRegisterProtocol、NdisOpenAdapter、NdisCloseAdapter、NdisSend 這幾個函數的地址。

對于處于系統核心的 ndis.sys 而言，要修改它的內存區域，只有驅動程序才能做到，所以我們

必須編寫驅動程序來達到這個目的。

該方案的缺點是加載或卸載驅動后無法立即生效，必須重啟系統。且掛鉤方法較為復雜。早期凡

使用 NDIS-Hook 的防火墻都采用這一方法，包括著名的費爾防火墻的早期版本(v2.1)。

直到 2004 年，www.tmdps.cn 上一名黑客公布了一種全新的 NDIS-Hook 技術(即下文即將提

到的第2種方法)，諸多防火墻產品才都悄悄對自己的核心技術進行了升級。由于新的掛鉤技術更

好，故本文不打算詳述修改 Export Table 這一方法的具體細節。

2.向系統注冊假協議(Bogus Protocol)。NDIS提供了一個API: NdisRegisterProtocol()，這個API的職責是向系統注冊一個協議(如TCPIP)，并將該協議作為一個鏈表節點插入到“協議鏈表”的頭部，最后返回該鏈表頭節點(即新節點)的

地址。正常情況下，只有NDIS協議驅動程序(NDIS Protocol Driver)才會調用這個API。

既然如此，如果我們也調用 NdisRegisterProtocol()向系統注冊一個新的協議，我們也就能輕

易地得到“協議鏈表”的首地址，通過走訪這個鏈表，就能修改其中的某些關鍵信息，比如關鍵

函數的地址。修改完畢后，再調用 NdisDeRegisterProtocol()注銷掉新協議。這看似一切都沒

發生，但事實上目的已經達到了。這個新協議我們稱之為假協議(Bogus Protocol)。

通過這種方法，我們可以不用重啟系統就能輕松掛接截包函數。當今大多數網絡防火墻都采用了

這一方法。近來網上又有人提出了獲取協議鏈表首地址的新的怪異途徑，比如獲取 tcpip.sys 中全局變量 _ARPHandle 值的方法。不管怎樣，相比之下，注冊假協議仍不失為一種經典且簡單的方法。

本文將詳細敘述第2種方案的內部原理和實現細節，即通過注冊假協議獲取協議鏈表首地址，遍歷

鏈表并修改其中的函數地址，掛鉤自己的函數，從而實現網絡截包。在這么做之前，需要先對NDIS

內部維護的幾個結構有清楚的認識。另外，由于歷史原因，NDIS存在諸多并不完全向下兼容的版本，不同的版本中關鍵數據域的偏移地址也不盡相同。微軟并沒有以文檔形式提供這些變化的列表。本

文稍后給出這些變化。

* NDIS_PROTOCOL_BLOCK 和 NDIS_OPEN_BLOCK

在NDIS中，所有已注冊的協議是通過一個單向的協議鏈表來維護的。這個單向鏈表保存了所有已注冊 的協議，每個協議對應一個節點。鏈表節點由 NDIS_PROTOCOL_BLOCK 結構來描述，在這個結構中保存

了注冊協議驅動時所指定的各種信息，如支持協議即插即用的回調函數地址等。同時，每個協議驅動

還對應一個 NDIS_OPEN_BLOCK 節點結構的單向鏈表來維護其所綁定的網卡信息，協議驅動發送和接收

數據包的回調函數地址就保存在這個結構中，是我們要重點修改的對象。

協議與網卡綁定的示意圖如下： ┌───┐

│ Head │

└─┬─┘

↓

┌──────────────┐ ┌───────────┐

│ TCPIP Protocol Block ├──→│ RTL8168 Open Block │

└──────┬───────┘ └─────┬─────┘

↓ ↓

┌──────────────┐ ┌───────────┐

│ TCPIP_WANARP Protocol Block│ │ Wireless Open Block │

└──────┬───────┘ └─────┬─────┘

↓ ↓ ┌───┐ ┌───┐

│ NULL │ │ NULL │

└───┘ └───┘ * 得到 NDIS_PROTOCOL_BLOCK 鏈表的首地址

上文已提到，通過向系統注冊假協議，我們即可得到協議鏈表的首地址。從DDK中可查到 NdisRegisterProtocol()的原型：

EXPORT VOID NdisRegisterProtocol(OUT PNDIS_STATUS Status, OUT PNDIS_HANDLE NdisProtocolHandle, IN PNDIS_PROTOCOL_CHARACTERISTICS ProtocolCharacteristics, IN UINT CharacteristicsLength);

可以看出，我們在調用它時需要傳入一個結構 NDIS_PROTOCOL_CHARACTERISTICS，這個結構是我們

在注冊協議時必須填寫的一張表格，這個表格描述了協議的相關信息。不過既然我們注冊的是一個

假協議，所以可以盡量簡單地填寫它。

NDIS_STATUS

DummyNdisProtocolReceive(IN NDIS_HANDLE ProtocolBindingContext, IN NDIS_HANDLE MacReceiveContext, IN PVOID HeaderBuffer, IN UINT HeaderBufferSize, IN PVOID LookAheadBuffer, IN UINT LookAheadBufferSize, IN UINT PacketSize){ return NDIS_STATUS_NOT_ACCEPTED;}

NDIS_HANDLE

RegisterBogusNdisProtocol(void){ NTSTATUS Status = STATUS_SUCCESS;NDIS_HANDLE hBogusProtocol = NULL;NDIS_PROTOCOL_CHARACTERISTICS BogusProtocol;NDIS_STRING ProtocolName;NdisZeroMemory(&BogusProtocol, sizeof(NDIS_PROTOCOL_CHARACTERISTICS));BogusProtocol.MajorNdisVersion = 0x04;BogusProtocol.MinorNdisVersion = 0x0;

NdisInitUnicodeString(&ProtocolName, L“BogusProtocol”);BogusProtocol.Name = ProtocolName;BogusProtocol.ReceiveHandler = DummyNdisProtocolReceive;NdisRegisterProtocol(&Status, &hBogusProtocol, &BogusProtocol, sizeof(NDIS_PROTOCOL_CHARACTERISTICS));

if(Status == STATUS_SUCCESS)return hBogusProtocol;else return NULL;}

函數 RegisterBogusNDISProtocol()的返回值即是我們想要的協議鏈表首地址。不過須注意的是，在函數掛鉤完成后，應調用 NdisDeregisterProtocol()將假協議注銷。另外，在遍歷協議鏈表

進行函數掛鉤時，應從首節點的下一個節點開始，因為首節點是我們的假協議節點。

* 修改原有函數地址值實現函數掛鉤

上文已提到了和NDIS相關的三個結構： NDIS_PROTOCOL_BLOCK, NDIS_OPEN_BLOCK, NDIS_PROTOCOL_CHARACTERISTICS。

那么我們要替換的函數在哪兒呢？答案是在 NDIS_OPEN_BLOCK 和 NDIS_PROTOCOL_CHARACTERISTICS

這兩個結構中，而且重點是前者，因為前者是協議驅動和網卡綁定的紐帶?，F在的主流網卡都只 調用 NDIS_OPEN_BLOCK 中的收發函數進行發送和接收數據包。但據試驗，虛擬機 VMware 有時會

調用 NDIS_PROTOCOL_CHARACTERISTICS 中的函數進行數據包收發。所以為了嚴謹，我們應該對兩

個結構中的函數進行替換。關于這兩個結構的定義，讀者可以自行查閱DDK文檔和頭文件。

下面給出示意性代碼。簡單起見，下列代碼均假設當前NDIS的版本為5.0。

BOOLEAN InstallHook(void){ NDIS_STATUS nStatus;NDIS_HANDLE hBogusProtocol = NULL;BYTE *pProtocolChain;

// Get the address of the first NDIS_PROTOCOL_BLOCK node.hBogusProtocol = RegisterBogusNDISProtocol();if(hBogusProtocol == NULL)return FALSE;pProtocolChain =(BYTE*)hBogusProtocol;while(TRUE){ // Get the address of the next node.DWORD dwOffset = 0x10;// for NDIS 5.0 pProtocolChain =((BYTE **)(pProtocolChain + dwOffset))[0];if(!pProtocolChain)break;

HookNdisProtocolBlock(pProtocolChain);}

NdisDeregisterProtocol(&nStatus, hBogusProtocol);return TRUE;} void

HookNdisProtocolBlock(IN BYTE *pProtocolBlock){ PNDIS_PROTOCOL_CHARACTERISTICS pProtoChar;PNDIS_OPEN_BLOCK pOpenBlock;

pProtoChar =(PNDIS_PROTOCOL_CHARACTERISTICS)(pProtocolBlock + 0x14);HookNdisProc(MyReceive,(PVOID *)&pProtoChar->ReceiveHandler);HookNdisProc(MyReceivePacket,(PVOID *)&pProtoChar->ReceivePacketHandler);HookNdisProc(MyBindAdapter,(PVOID *)&pProtoChar->BindAdapterHandler);

pOpenBlock =((PNDIS_OPEN_BLOCK *)pProtocolBlock)[0];while(pOpenBlock){ HookNdisProc(MySend,(PVOID *)&pOpenBlock->SendHandler);HookNdisProc(MyReceive,(PVOID *)&pOpenBlock->ReceiveHandler);HookNdisProc(MyReceivePacket,(PVOID *)&pOpenBlock->ReceivePacketHandler);HookNdisProc(MySendPackets,(PVOID *)&pOpenBlock->SendPacketsHandler);

pOpenBlock = pOpenBlock->ProtocolNextOpen;} } void HookNdisProc(IN PVOID pMyProc, IN PVOID *ppOrgProc){ // TODO: Save the address of the original proc.*ppOrgProc = pMyProc;}

InstallHook()首先得到協議鏈表的首地址，接著遍歷鏈表，針對系統中的每個(第一個除外)NDIS_PROTOCOL_BLOCK 調用 HookNdisProtocolBlock()函數。HookNdisProtocolBlock()對 NDIS_PROTOCOL_BLOCK 中 NDIS_PROTOCOL_CHARACTERISTICS 和

NDIS_OPEN_BLOCK 鏈表的每個節點進行函數掛接。

HookNdisProc()用于替換函數地址。給出的代碼中它只是簡單地替換函數地址，在實際應用中，它還應當保存原始函數的地址值，以供新的函數調用。

* 關鍵數據域在不同NDIS版本中的差異

由于 NDIS-Hook 并非受微軟官方支持的技術，所以相關文檔非常缺乏。不僅如此，操作系統的 每次升級，都會同時升級NDIS，而NDIS中的某些數據結構并沒有保持向下兼容。最需要注意的

是 NDIS_PROTOCOL_BLOCK。

在 Win9x/Me/NT 的DDK中，NDIS_PROTOCOL_BLOCK 都有明確的定義，但在 Win2K/XP 的DDK中，并沒有該結構的詳細定義，也就是說該結構在 Win2K 以后(含)的系統中是非公開的。因此開發

人員只能利用各種調試工具來發掘該結構的詳細定義。也正是因為如此，NDIS-Hook 方法對平臺 的依賴性比較大，需要在程序中判斷不同的操作系統版本而使用不同的結構定義。

NDIS_PROTOCOL_BLOCK 的定義可大致認為是這個樣子：

typedef struct _NDIS_PROTOCOL_BLOCK { PNDIS_OPEN_BLOCK OpenQueue;REFERENCE Ref;UINT Length;NDIS_PROTOCOL_CHARACTERISTICS ProtocolChars;struct _NDIS_PROTOCOL_BLOCK* NextProtocol;ULONG MaxPatternSize;//...} NDIS_PROTOCOL_BLOCK, *PNDIS_PROTOCOL_BLOCK;

其中 OpenQueue 為 PNDIS_OPEN_BLOCK 鏈表的首節點地址，NextProtocol 指向下一個

NDIS_PROTOCOL_BLOCK 節點。

在不同的NDIS版本中，該結構中的某些域的偏移地址是不同的，現列于下：

┌───────┬───────────┬───────────┐

│ NDIS Version │ ProtocolChars offset │ NextProtocol offset │

├───────┼───────────┼───────────┤

│ 3.XX │ 0x14 │ 0x04 │

│ 4.XX │ 0x14 │ 0x60 │

│ 4.01 │ 0x14 │ 0x8C │

│ 5.XX │ 0x14 │ 0x10 │

└───────┴───────────┴───────────┘ * 如何在驅動中得到當前NDIS版本？ 有兩種方法可得到當前NDIS版本。一種是先取得當前操作系統的版本信息，在根據操作系統 的版本得到NDIS的版本。操作系統版本和NDIS版本有一個映射關系，讀者可在DDK幫助中查到。

┌───────┬───────┐

│ OS Version │ NDIS Version │

├───────┼───────┤

│ Win95 │ 3.1 │

│ Win95 OSR2 │ 4.0 │

│ Win98 │ 4.1 │

│ Win98 SE │ 5.0 │

│ WinMe │ 5.0 │

│ WinNT 3.5 │ 3.0 │

│ WinNT 4.0 │ 4.0 │

│ WinNT 4.0 SP3│ 4.1 │

│ Win2K │ 5.0 │

│ WinXP │ 5.1 │

│ WinVista │ 6.0 │

└───────┴───────┘

還有一種方法，通過調用 NdisReadConfiguration()直接獲取NDIS版本。代碼如下：

BOOLEAN GetNdisVersion(OUT DWORD *pMajorVersion, OUT DWORD *pMinorVersion){ NDIS_STATUS nStatus;NDIS_STRING VersionStr = NDIS_STRING_CONST(“NdisVersion”);PNDIS_CONFIGURATION_PARAMETER ReturnedValue;BOOLEAN bResult;NdisReadConfiguration(&nStatus, &ReturnedValue, NULL, &VersionStr, NdisParameterInteger);

bResult =((nStatus == NDIS_STATUS_SUCCESS)? TRUE : FALSE);if(bResult){ //

// The returned value has the NDIS version of the form // 0xMMMMmmmm, where MMMM is major version and mmmm is minor // version so 0x00050000 is 5.0 //

DWORD dwVersion = ReturnedValue->ParameterData.IntegerData;if(pMajorVersion)*pMajorVersion = dwVersion >> 16;if(pMinorVersion)*pMinorVersion = dwVersion & 0xFFFF;}

return bResult;}

須注意的是，GetNdisVersion()必須在 PASSIVE_LEVEL 下運行。所以此函數適合于在 驅動的 DriverEntry()中調用，因為 DriverEntry()一定是處于 PASSIVE_LEVEL 的。

第二篇：基于數據包捕獲與分析的個人防火墻論文

基于數據包捕獲與分析的個人防火墻論文

本套設計論文描述及運行界面展示

摘 要

數據包過濾是一個用軟件或硬件設備對向網絡上傳或從網絡下載的數據流進行有選擇的控制過程。數據包過濾的功能通常是在將數據包從一個網站向另一個網絡傳送的過程中允許或阻止它們的通過（更為常見的是在從英特網向內部網絡傳輸數據時，或從內部網絡向英特網傳輸）。若要完成數據包過濾，你就要設置好規則來指定哪些類型的數據包被允許通過和哪些類型的數據包將會被阻止。

基于數據包過濾的防火墻，能夠很好地保護用戶在與網絡連接時的安全性。

我們的目標，就是通過截獲數據包，并且對其進行分析，來放行或阻止網絡訪問，從而達到保護計算機安全的目的。

本論文主要講述了下面幾點：

一、數據包捕獲及網絡安全技術

二、系統的設計與實現

三、測試及其他

關鍵字：數據包捕獲；防火墻；網絡安全

Abstract Packet Filtering is the process a piece of software or device takes to selectively control the flow of data to and from a network.Packet Filters allow or block packets, usually while routing them from one network to another(most often from the Internet to an internal network, and vice-versa).To accomplish packet filtering, you set up rules that specify what types of packets are to be allowed and what types are to be blocked.The packet filtering based firewall can protect the security of computers very well.Our goal is to capture and analysis data packets ,so we can examines all packets that pass in and out of it to prevent packets from passing through ,and the computer is protected.The thesis presents these aspects:

1、Technology of Packet Filtering and Network Security

2、How to implement the system

3、Testing document and others Key Words: Packet Filtering、Firewall、network security

目 錄 第一章 緒論 1 第一節 課題意義1 第二節 課題綜述1

一、國內外發展情況 1

二、網絡安全技術介紹 4

三、防火墻介紹 6

四、防火墻技術發展趨勢8

五、防火墻產品發展趨勢10 第二章 需求分析 11 第一節 需求分析11

一、功能調查11

二、初步設計12 第二節 可行性分析 12

一、技術可行性及方案選擇 12 第三節 開發環境及工具 13

一、開發環境13

二、開發工具14 第三章 基礎實現技術介紹 15 第一節 MFC介紹15 第二節 數據包過濾技術 15

一、數據包 15

二、數據包過濾是怎樣工作的16

三、包過濾的優點 16 第四章 系統總體設計18 第一節 功能分析18 第二節 系統工作流程 19

一、系統工作流程圖 18

二、原理分析20

三、系統工作過程描述 21 第五章 子模塊設計 22 第一節 模塊分析21

一、模塊劃分原則 22

二、模塊劃分23

三、模塊接口定義 25 第二節 子模塊詳細設計 26

一、注冊模塊26

二、查詢模塊28

三、流量統計模塊 29 第六章 出現問題及解決辦法 32 第一節 出現問題32 第二節 無法解決的問題 33 第七章 測試 34 第一節 測試方案34 第二節 測試實例35 第三節 測試總結39 結束語 40 致謝 41 參考文獻42

第三篇：領導方式轉變小結

“用領導方式轉變加快發展方式轉變”解

放思想大討論活動第一階段小結

根據市委的統一部署和局黨委的計劃安排，我局認真組織開展了“用領導方式轉變加快發展方式轉變”解放思想大討論活動。通過第一階段的學習活動，使廣大干部職工整體上對“用領導方式轉變加快發展方式轉變”的重要性、必要性和緊迫性有了新的領悟，深化了對科學發展觀的認識，全水務系統想發展、議發展、謀發展的氛圍日益濃厚，形成了改革創新的思想動力，為第二階段活動的順利開展打下了良好基礎?，F就第一階段的工作開展情況簡要作一小結。

一、第一階段活動開展情況

3月5日林州市“用領導方式轉變加快發展方式轉變”解放思想大討論活動動員會后，XX黨委按照市委的統一部署，3月9日及時召開了XX“用領導方式轉變加快發展方式轉變”解放思想大討論活動動員會，精心組織，扎實推進，在全系統內迅速掀起了新一輪解放思想熱潮?；仡櫟谝浑A段的工作,主要有以下五個特點：

（一）高度重視。市動員會結束以后，局黨委及時召開了會議，專題研究部署大討論工作，細化任務，明確責任。3月9日制定了《XX“用領導方式轉變加快發展方式轉變”解放思想大討論活動工作方案》。及時成立了以局黨委書記

1為組長，副書記為副組長，各分管領導為成員的“大討論活動領導小組”。并設立了辦公室。提出了主要領導親自抓，分管領導具體抓的要求，在XX系統形成了一級抓一級，一級促一級，層層抓落實的工作格局。

（二）領導帶頭。活動開展的是否順利，效果是否明顯，關鍵要看領導。在此階段活動中，XX系統各級領導干部都能做到率先垂范，并將其貫穿于活動的各個環節，體現到工作的各個方面，使領導干部既是活動的組織者，也是活動的先行者，帶頭學習討論，帶頭更新觀念，帶頭轉變作風，帶頭改進工作，切實增強了進一步解放思想的主動性和積極性，增強落實科學發展觀的堅定性和自覺性，積極探索發展的新理念、新路徑，在抓機遇中謀思路、破難題、謀跨越、抓發展，使思想達到新境界，觀念取得新突破，工作拿出新舉措，實現水利事業的新跨越。

（三）真抓實學。一是局黨委統一下發了學習筆記，購買了《何平九論》，并從網上下載了一些有關省重要領導講話的學習資料，下發給各局屬單位和科室，健全了學習制度，實行了學習簽到制。二是認真組織動員。為了充分提高全XX系統干部職工對大討論活動的認識，局黨委及時召開了動員大會，局黨委書記、局長XX同志做了重要講話，紀委書記XX傳達了活動方案并就活動的安排進行了部署，講解了大討論活動的重要意義，使全體干部職工充分認識到了開展大討

論活動的重要性和必要性，把思想統一到省委、市委的決策部署上來，增強了參加大討論活動的自覺性，迅速在全XX系統掀起了大討論活動的熱潮。三是認真組織學習。利用每周二、五學習日統一組織，集中學習的形式，認真組織學習了省委書記盧展工在《人民日報》發表的署名文章《用領導方式轉變加快發展方式轉變》及有關重要講話精神，學習了《河南日報》刊發的何平系列政論文章，學習了安陽市市委書記張廣智在動員大會上的講話精神和2月23日來林調研時的講話精神，學習了我市市委書記XX在動員大會上的講話精神和紅旗渠精神等學習內容，通過每個專題的學習，要求領導干部職工撰寫了讀書筆記和心得體會、理論文章或調研報告，確保了學習效果。同時，在學習提高的基礎上，我們又及時開展不同層次的學習交流會，組織領導干部交流學習體會，暢談學習收獲，通過座談討論、班子談心活動等，全面加深了用領導方式轉變加快發展方式轉變的理解和認識。四是加強督導。為推動解放思想大討論活動在全水務系統取得實效，局黨委在加強對機關開展活動引導的同時，及時向各局屬單位，下發了《中共XXX委員會關于成立XX系統“用領導方式轉變加快發展方式轉變”解放思想大討論活動領導小組的通知》、《XX系統“用領導方式轉變加快發展方式轉變”解放思想大討論活動工作方案》，并要求各局屬單位結合本單位工作實際制定相應的活動方案、成立領導小

組，局黨委重點對各單位大討論活動的組織領導、工作部署和實際效果，進行督促檢查，保證了活動在全XX系統開展的實效性。

（三）搞好宣傳。為了擴大活動影響，充分調動大家的積極性，充分利用標語、板報、簡報等宣傳形式，大力宣傳學習貫徹活動中出現的好做法、好經驗。利用學習專欄，及時報道活動開展情況。解放思想大討論活動辦公室針對每個學習專題專門印發活動簡報，有力指導和推動了活動的開展。

（四）聯系實際。為增強對工作的指導性，實效性，全水系統在解放思想大討論活動中，緊緊圍繞我市加快建設三省交界區域中心城市提供水利支撐和保障的思路，以解放思想和轉變作風為重點，著力抓好以下具體工作。一是綜合運用現代管理手段和方法探索適合全市XX改革發展的管理模式；二是加大對執法人員的培訓；三是完善管理規章制度；四是按照中央一號文件精神搶抓機遇，加快基層設施建設步伐；五是按照解放思想大討論活動目標要求進一步增強全系統發展為民、團結奮進的凝聚力。

（五）效果明顯。一是通過學習動員階段的組織發動、學習和宣傳，使廣大干部職工增強了開展大討論活動的自覺性，明確了大討論活動的指導思想和重大意義，明確了大討論活動的重要內容和方法步驟，都能夠積極投身到活動中，學習了規定的學習內容，達到了統一思想、提高認識的目的，取得了明顯成效。二是通過廣泛的學習討論，促使大家對八個進一步有了更深刻的理解和認識，即：一是進一步增強搶抓機遇、應對挑戰的洞察力；二是進一步增強駕馭全局、統籌協調的掌握力；三是進一步增強遵循規律、實事求是的運作力；四是進一步增強從容清醒、化危為機的應對力；五是進一步增強敢想敢干、銳意進取的創新力；六是進一步增強實干為先、求實求效的執行力；七是進一步增強恪盡職守、忠誠履責的向心力；八是進一步增強發展為民、團結奮進的凝聚力。全系統解放思想大討論活動第一階段的系統學習任務已結束，已完成了規定的學習任務。

二、下步工作打算

（一）繼續開展好學習活動。為了提高學習的質量，保證學習的效果，各局屬單位和各科室要結合查擺問題，對于活動方案中沒有學完的書目，進一步加強學習搞好自學，嚴格落實“三個必須”：必須按方案中的書目內容，通讀每篇文章，劃出學習重點；必須在筆記上摘錄每篇文章的重點內容，領會文章要義；必須結合自身思想實際，邊學習邊思考，寫出心得體會。局黨委將對個人讀書筆記和心得體會統一進行檢查。

（二）要廣泛征求意見。各局屬單位和各科室要以座談討論、談心交流、走訪調研、設置征求意見箱、發放征求意見表等形式，結合自身業務，廣泛征求意見和建議。

（三）要認真查找問題。在走訪調研的基礎上，各局屬單位和各科室要對照科學發展觀要求，按照活動方案的要求，結合工作職能，結合業務范圍，結合自身素質，著力解決本單位領導干部在思想觀念、體制機制、方式方法等方面存在的突出問題。領導干部和科室長（主任）要以身作則，帶頭查找問題。對查找到的問題要提出整改要求，明確整改責任。

（四）要開好民主生活會。各局屬單位領導班子要開好一次高質量的民主生活會，要圍繞機制、憂患、規律、大局、創新、責任、求實、為民等八個方面，深刻討論反思在思想觀念、思維方式、體制機制、工作思路、工作方法、工作作風等方面存在的與轉變發展方式不相適應、不相符合的突出問題，深刻剖析原因，澄清領導班子和領導干部在領導方式上存在的模糊認識。通過開展批評和自我批評，深入剖析根源，提出整改措施。

二0一一年三月三十日

第四篇：初中歷史課堂小結的主要方式

初中歷史課堂小結的主要方式

一個完整的教學過程應該有課堂小結，好的課堂小結好似教學的壓軸戲，精心設計出生動有趣、行之有效的小結，無疑可以為一堂課錦上添花，收到余音繞梁的奇效：它有利于教師突出教學重點，幫助學生強化記憶、鞏固知識，有利于學生將知識條理化、系統化，在頭腦中形成系統的知識。因此，教師應該把課堂小結作為教學的重要環節，根據教材內容和學生情況、認真挖掘教材、精心設計、選擇合適的方法做好課堂小結，才能提高教學質量。

一、圖表式小結

對于每一單元之后的科技文化、宗教、思想、藝術等領域的學習，采用圖示或表格形式進行小結是最簡潔的。它通過將課堂講授內容進行概括整理，突出重點地進行一定的歸類、比較，能幫助學生利用表格從不同角度、多方聯系辨別分析，找出規律，找出異同，看清知識脈絡，便于記憶。例如，在學習完初中歷史八年級上冊第三單元“新民主主義革命的興起”后，我與學生一同回顧了本章從五四愛國運動和中國共產黨的成立開始，到長征的勝利這一時期的知識點，在學生的回答聲中和我的引導下，一同完成表格。

二、圖示式小結

如果能配合相應的知識結構圖解表解，效果會更好。比如在講完九年級上第10課《英國資產階級革命》后，用如下結構圖演示了整體革命過程：導火線（蘇格蘭人民起義）→爆發標志（新議會召開）→階段性勝利（處死國王查理一世）→復辟（查理二世）→光榮革命→勝利（《權利法案》）→偉大意義。通過這一圖示，使學生對英國資產階級革命有了較為直觀的印象。

三、比較式小結

中外歷史，要注意聯系，相互比照，很利于教學，也利于學生記憶。比如講九年級上第17課《日本明治維新》時，就可以用比較法。用“分析比較日本明治維新和中國戊戌變法的異同”作為小結，方便對比記憶。相同點可以從外部環境、改革的性質、改革的內容、改革的方式去比較;不同點可以從改革的時間、外部環境、改革的力量、改革的結果等方面去比較。

四、歸納式小結

歸納法是歷史課堂教學的最常用方法，可以使錯綜復雜、縱橫交錯的知識點系統化，利于培養學生的概括能力，提高分析和判斷能力，但和所有教學環節一樣，這里也需要多變的方法使學生保持興趣和思維的積極狀態，有利于學生把握重難點。此法以概括本課的知識點和主要內容為主，它不是所授新課內容的簡單重復，而是對知識內容上提綱挈領的歸納和情感上的升華，是對某些歷史事件、歷史現象進行規律性的總結。如在《鴉片戰爭》的教學中不妨設計一個討論式的小結：學習了鴉片戰爭，了解了19世紀中葉的國內外形勢，請大家討論一下，若是沒有林則徐的禁煙，鴉片戰爭還會爆發嗎？說說你的理由。要求學生緊緊圍繞本節課的內容進行分析討論。這樣不僅重新激起了已經削減了的學習興趣，而且利于學生整體上理解鴉片戰爭，對鴉片戰爭這一事件在更深層次上的認識，使課堂教學再上一個新的臺階。

五、承上啟下式小結

歷史教學時必須照顧到各個歷史事件和歷史現象之間的連接點。教師在作小結時，既要突出本課的重點，加深學生對知識的記憶，同時，找準前后兩課內容的聯系點，利用既富有啟發性，又能暗示新課內容的問題，使本節內容與下一課連貫起來，“欲知后事如何，請聽下文分解”，激起學生對新課內容的好奇心。例如，在學習七年級上冊的“秦帝國的興亡”后，我總結道：“通過這節課的學習，我們知道公元前221年，秦統一了六國，結束了長期分裂割據的局面，建立起我國歷史上第一個統一的多民族的中央集權國家?？汕爻畞砟昃蜏缤隽耍厥蓟实谋┱钦衼砗笫啦槐M的罵名。但是秦始皇真的無一是處嗎？”以此強調了本節課的線索，又調起了學生學習下一課“秦始皇建立中央集權的措施”的興趣。

六、討論式小結

在課堂教學中有著十分重要的作用，它能培養學生分析問題、解決問題的能力。教師通過提出問題，讓學生進行討論后作出小結，通過創造一種緊張思考問題的良好氛圍，使學生更透徹地理解教材的有關知識，鞏固所學內容，同時，它能加強學生對教學活動的參與，使學生成為學習的主人。例如，在學習“夏商西周的社會與國家”后，我請學生談談通過今天這堂歷史課的學習有哪些收獲。學生1：西周的分封制，包括它的實行目的、主要內容和作用。學生2：奴隸制社會的主要社會成員有貴族、平民與奴隸，他們組成了奴隸制社會的階級結構。學生3：西周的統治者吸取商亡的教訓，注意治民之道，系統地提出了“禮、樂、刑、政”一整套治民之術，其中最突出的就是“禮”和“刑”。學生4：還知道了今天所用地名的歷史淵源。在學生回答的過程中，教師可做適當的點撥，在學生回答時，教師可在黑板上做簡單的記錄，以突出本節課的知識點，也可以請優等生在最后做出系統歸納，提高學生對課堂教學的參與度。

七、練習鞏固式小結

這也是較常用的一種方法。教師精心設計針對本節、本章教學內容的練習，學生通過練習，達到鞏固知識的目的。為了能取得更好的效果，教師設計的練習要精巧，另外如果是簡單的知識性回顧式的練習，應先讓學習用少量時間閱讀課文后完成，避免直接從課本上簡單抄錄。比如在講完九年級上第五單元時，可以提問：主要資本主義國家走上資本主義道路的方式有何不同？對前兩個單元進行階段性小結。

八、補充拓展式小結

不同版本的教材，講述側重有所不同，由于種種原因，教材中不可能將事件從頭至尾清晰地呈現，因此，根據課本內容，對材料進行適當的補充，可幫助學生對事件做更詳細的了解。例如，在學習“抗日戰爭的勝利”后，在做課堂小結時，我為學生適時地補充了抗戰取得勝利的其它原因，如國共合作、世界反法西斯戰爭的勝利等。同時，在教學中，將歷史知識與社會重大時政和社會熱點問題相結合，可培養學生運用歷史知識分析處理問題的能力，并能做到關心社會、把握時代的脈搏。因此，教師應重視歷史事件與現實（的結合，重視歷史的史鑒作用。例如，在學習完九年級下冊的“第二次世界大戰”后，我做小結時，利用一戰二戰的性質，請同學們談談當今威脅世界和平安全的因素有哪些，至今未發生世界大戰的原因是什么，利用戰爭形成的世界格局請同學們談談當今世界格局的特點。

總之，課堂小結可以把比較分散的知識點教學系統化。課堂小結的方法也是不一而足的，但同樣不可千篇一律，以防學生在整個課堂教學中由于疲勞興趣減免而影響效果。課堂小結猶如一場精彩演出的壓軸戲，有余音繞梁的功效。教師應根據授課內容、學生的具體情況，選擇合適的課堂小結。

第五篇：個人做站經驗分享 SEO方式小結

個人做站經驗分享 SEO方式小結

做優化很長時間了，在這里我要和大家分享一下我的工作心得，以便能幫助更多的人在工作的道理的越走越順。也希望大家能給我提出寶貴的意見來。

1、網頁標簽優化，網頁標簽優化主要包括標題標簽，關鍵詞標簽，描述標簽等。標題標簽優化對搜索引擎非常重要，描述標簽千萬不要夸大，要保持和頁面內容相符合才能取得效果。標題標簽長度不超過20個漢字最好。描述標簽要清晰明了的寫出網頁簡介內容，突出關鍵詞，不要太長和寫與網頁內容不相干的內容

2、導航欄目優化，導航欄用圖片對于搜索引擎很不利，最好用文字鏈接，并且適當對導航欄字體加粗。

3、頁面字體優化，網頁內容標題中包含關鍵詞可以用加大字體或加粗，文本內容出現的關鍵詞可以用不同的顏色或加粗。如“人才集市”中出現“寧波招聘會：8月15日專場招聘會”那么“寧波招聘會“加粗更有利百度的收錄。另外文本中有其他頁面的關鍵詞，可將這個關鍵詞加上超鏈接，導向相關頁面。如在最新資訊和人才集市中都有”寧波招聘會“這個關鍵詞，那么可以在最新資訊的”寧波招聘會“做個超鏈接，點擊可以跳到人才集市頁面中的這條消息，這樣有助于提高相關頁面的訪問量。

4、關鍵詞密度，每個網頁突出的關鍵詞不要超過3個，關鍵詞密度一般在3%左右比較合適。

5、論壇宣傳：有兩種，一種是選擇自己潛在客戶在的論壇，如寧波當地主流論壇;另一個是人氣很旺的門戶論壇，如新浪。這里發帖的質量很重要，可以利用口碑宣傳。我想在那發個有關招聘會的帖子，然后叫大家去扮演求職者和企業的角色去回復帖子，談談到我們招聘會現場的一些好的感受來達到一個好的口碑宣傳。據我在寧波主流論壇發布的帖子瀏覽率平均為30左右，在余慈論壇一個招聘會的帖子點擊率達到140多。即使沒給網站帶來多少點擊率但是曝光率還是挺高的。

6、網站的粘度：網站的內容比較能吸引人去看，而且來了一次還會來第二次。網站的內容能否吸引人再次來閱讀是很重要的?；蛘呖梢远ㄆ谕瞥鎏厣珜ｎ}來吸引用戶。

7、圖片優化，在網頁制作時可以對網站的圖片加入文字注釋，這樣百度根據關鍵詞搜索圖片時我們網站的圖片能夠被收錄，從而帶來鏈接。我們也許可以將媒體關注和公司簡介、團體導航中的圖片加些文字注釋測試一下

8、發外鏈，外部鏈接顧名思義就是自己的內容在別人的網站，論壇上出現的頻率度，當然越多越好。一定要保證這些鏈接的質量，要控制數量，不能發的太多，要知道質比數更重要;內容即不要太空洞，也不要一直的重復一樣的;不能偏離主題，也不要到和自己網站無關的地方發貼，從而浪費資源;每個外鏈指向的可以是你的子頁面，盡量避免每個主題和主頁在保持一致。

9、偽原創(優化)

可以聽到無數的呼聲中都在說增加偽原創，因為這是很必須，不是每一個人都是大作家，他們也寫不出曠世奇作，那就要來點虛的了，當然這不是就可以說隨便拿別人的東西。要做到不被作者看出，不被收錄工具看出，就是說要面目全非，讓誰看了都說是你寫的就成功了。步驟如下：

1.更改標題：這是最關鍵的，我們可把意思理解了，更換成不一樣的話，但表達的內容要是一致的，只是方式不同罷了;2.修改文章內容：改動原創成為自己的東西關鍵就要看內容了，這里最為重要的就是開始和結束了，這是人們看文章的一種合理習慣，沒有人會無聊到把每一個字都看仔細了，這就要看改文章人的水平了，要既要讓關鍵字出現的合情，又要把文章的內容修飾的合理。這樣就可以讓引擎認可你了。

10、原創(內容)

多寫一些自己的東西傳上去，既真實被收錄的機會又高，這是毋庸置疑的。有人就會說了，那去做偽原創多省事啊，這里就要記住了，偽原創無論你做的多真實，思路永遠是別人的，是在走他們走過的路線，更不要忘了偽原創前面始終都有一個‘偽’字，這就是表明不真實。所以如果是想推網站的各位站長們就要花更多的心思在原創上了，付出就要收獲，相信這是不變的真理。企業網站優化